Kun koko maailmassa on siirrytty ennennäkemättömällä tavalla etätöihin, esiin on noussut uusia tietoturvaongelmia, kertoo konsulttiyhtiö Boston Consulting Group. Kyberrikolliset käyttävät ihmisten koronavirukseen liittyvää tiedonjanoa häikäilemättömästi hyväkseen.
BCG:n tutkimien tapausten valossa tietovuoto johtuu useimmiten inhimillisistä tekijöistä, ei teknologiasta.
Konsulttiyhtiön mukaan kyberrikolliset ovat aktivoituneet ja oppineet nopeasti käyttämään koronakriisiä omiin tarkoitusperiinsä.
Jo tammikuussa kyberrikolliset hankkivat koronaan liittyviä internetosoitteita. Maaliskuussa noin viidennes Googlen sähköpostipalvelu Gmailin kalastusviesteistä liittyi koronaan ja kaikesta globaalista sähköpostiliikenteestä jopa noin kaksi prosenttia oli koronahuijauksia.
Sivustoja on naamioitu virallista koronainformaatiota tarjoaviksi, vaikka ne levittävät haittaohjelmia.
Kuluttajia on huijattu esimerkiksi sivustoilla, jotka näyttävät kasvosuojuksia myyviltä verkkokaupoilta tai suositun Zoom-videoneuvotteluohjelmiston lataussivuilta.
Myös urkintasähköposteja on lähetetty näennäisesti virallisten terveysorganisaatioiden, kuten WHO:n, nimissä. Koronarokotteita kehitteleviin yrityksiin on yritetty tehdä kohdennettuja tietomurtoja rokotteita koskevien tutkimustietojen varastamiseksi.
BCG:n mukaan immateriaalioikeuksien loukkausten, varastettujen asiakastietojen, lunnasohjelmien ja kyberrikosten määrä on jatkuvassa nousussa. Hyökkäykset vahingoittavat yhä useampien yritysten liiketoimintaa ja yhä useammin johtavat myös yritysjohdon irtisanomisiin.
Hyvin monet onnistuneet hyökkäykset tai läheltä piti -tilanteet eivät kuitenkaan tule suuren yleisön tietoisuuteen. Cybersecurity Venturesin tutkimus arvioi, että tietoverkkorikollisuuden maailmanlaajuiset kustannukset voivat ylittää kuuso biljoonaa dollaria vuodessa vuoteen 2021 mennessä.
– Suurin osa yrityksistä suhtautuu kyberturvallisuuteen hyvin vakavasti. Yhdysvalloissa tehdyissä kyselyissä yritysjohtajat näkevät sen suurimpana yritystä koskevana uhkana ja Euroopassa tiukentuneet GDPR-vaatimukset vahvistavat asian vakavuuden. Silti yritysten asennoitumisessa on hyvin suuri ero niiden organisaatioiden välillä, joissa tämä uhka on jo jollain vakavalla tavalla realisoitunut ja niiden, jotka toistaiseksi ovat siltä vielä välttyneet, sanoo BCG:n osakas Juuso Soininen.
Heikoin lenkki on usein ihminen
Kun yrityksen turvallisuutta halutaan parantaa, ajatellaan usein, että ensisijainen ratkaisu on teknologian kehittäminen.
Kun BCG kävi taannoin läpi 50 suurta tietovuotoa, havaittiin, että vain 28 prosenttia tapauksista johtui suoraan puutteellisesta turvallisuusteknologiasta.
Suurimmassa osassa tapauksia (72 %) vuoto johtui ensisijaisesti inhimillisistä tekijöistä, kuten organisaation epäonnistumisesta, huonosta valmistautumisesta, prosessin epäonnistumisesta tai työntekijöiden huolimattomuudesta, jota hyväkään turvallisuusteknologia ei pystynyt paikkaamaan.
– Kun suuri osa työvoimasta on siirtynyt etätöihin, samalla vaatimukset yritysten ja organisaatioiden tietoturvalle ovat muuttuneet. Nyt jos koskaan yritysten pitää kiinnittää erityistä huomiota hajallaan olevan henkilöstön toimintaan ja yhdessä sovittuihin prosesseihin, Soininen sanoo.
Teknisten ratkaisujen lisäksi kyberturvallisuuskoulutus ja tietoisuuden lisääminen ovat kriittisiä riskien pienentämisessä.
BCG:n vinkkejä henkilöstön valmistelemiseksi etätöihin liittyvään tietoturvaan:
• Kouluta työntekijät käyttämään uusia työkaluja ja ominaisuuksia turvallisesti. Varmista, että työntekijät osaavat käyttää etätyötä tukevia työkaluja ja tekniikoita sekä tunnistavat ja osaavat estää koronaan liittyvät kyberuhat, kuten tietojenkalastelut ja vilpilliset sähköpostit ja puhelut. Työskennellessään kotona henkilöstön tulisi varmistaa esimerkiksi kotiverkon turvallisuus työkäyttöön, ja mahdollisuuksien mukaan eriyttää muiden perheenjäsenten ja henkilökohtaisten laitteiden verkkoliikenne. Kyberrikolliset kohdistavat yhä useammin iskuja esimerkiksi yritysten johtajien perheenjäsenten tietokoneisiin.
• Laadi protokollat työntekijöiden tunnistautumiseen etäympäristössä. Kouluta etätyöntekijät käyttämään vain turvallisia menetelmiä henkilöllisyyksien todentamiseksi. Tiukkojen protokollien ylläpitäminen estää henkilöstöä tahattomasti paljastamasta salaisia tietoja.
• Tee selkeät ohjeet. Tarjoa työntekijöille ohjeita, kuten itsepalveluoppaita, videoita ja listauksia, joissa kerrotaan turvallisuusuhkista ja etätyön tekemisestä turvallisesti.
